28 December 2025, 05:25

DSGVO-Urteil aus Düsseldorf: Nur echte Löschung zählt – Verstecken reicht nicht

Drei Jungen stehen neben einem Schreibtisch mit zwei Computersystemen, einer spricht in ein Mikrofon und trägt ID-Karten mit roten Markierungen, vor einer Wand mit einem Werbeplakat, auf dem "Russia Imagine 2013" steht.

DSGVO-Urteil aus Düsseldorf: Nur echte Löschung zählt – Verstecken reicht nicht

Ein aktuelles Urteil des Düsseldorfer Sozialgerichts hat klare Maßstäbe dafür gesetzt, wie Organisationen mit der Löschung von Daten nach der Datenschutz-Grundverordnung (DSGVO) umgehen müssen. Die Entscheidung bestätigt, dass das bloße Verstecken personbezogener Informationen den gesetzlichen Anforderungen nicht genügt – nur eine unwiderrufliche Löschung zählt. Das Urteil unterstreicht, dass sowohl Softwareanbieter als auch Datenverantwortliche sicherstellen müssen, dass ihre Systeme den strengen Löschvorgaben entsprechen.

Der unter dem Aktenzeichen S 16 AS 2347/21 verhandelte Fall befasste sich mit der Frage, ob das "Verbergen" personbezogener Daten – selbst wenn sie nur über ein gesichertes Vier-Augen-Prinzip wiederherstellbar sind – dem in Artikel 17 der DSGVO verankerten "Recht auf Vergessenwerden" gerecht wird. Die Richter entschieden, dass dies nicht der Fall ist. Stattdessen muss eine Löschung die Daten dauerhaft unzugänglich machen, idealerweise durch Methoden wie Schwärzung oder unwiderrufliche Entfernung.

Organisationen sehen sich nun strengeren Verpflichtungen gegenüber. Beim Kauf oder der Aktualisierung von IT-Systemen müssen sie prüfen, ob die Software echte Löschmechanismen unterstützt. Technische Unmöglichkeit kann nicht länger als Ausrede dienen; Verantwortliche müssen aktiv sicherstellen, dass ihre Tools eine vollständige Löschung ermöglichen. Bei bestehenden Systemen ist eine Überprüfung notwendig, um festzustellen, ob durch Updates oder Anpassungen die Konformität hergestellt werden kann. Softwareanbieter wiederum müssen ihre Systeme von vornherein so gestalten, dass sie die DSGVO-Anforderungen erfüllen. Das Urteil richtete sich zwar nicht gegen bestimmte Hersteller, setzte aber einen allgemeinen Standard für alle datenverarbeitenden Systeme. Personen, die eine Löschung beantragen, dürfen nicht mit oberflächlichen Lösungen abgewiesen werden. Wenn ein System Daten dauerhaft löschen kann, ist das bloße Verstecken keine akzeptable Alternative.

Das Düsseldorfer Urteil macht deutlich: DSGVO-Konformität erfordert mehr als eine oberflächliche Datenhandhabung. Organisationen müssen nun garantieren, dass ihre Systeme – sei es durch Neubeschaffungen oder Updates – eine unwiderrufliche Löschung ermöglichen. Wer diese Standards nicht erfüllt, riskiert Verstöße gegen die strengen Löschpflichten des Gesetzes.

Eine Gruppe junger Menschen in Fußballtrikots steht auf einem Fußballfeld und klatscht feiernd mit einer 'Ligue 1'-Tafel im Hintergrund.

Luca Reggiani trifft erstmals für Dortmund – ein Traumtor vor der Südtribüne

Ein Kopfball, ein Jubel, ein unvergesslicher Moment: Luca Reggiani schreibt mit 18 Jahren BVB-Geschichte. Sein Weg von der Jugend in die Profimannschaft ist atemberaubend.

Der Eingang des Kölner Doms in Köln, Deutschland, mit detaillierten Schnitzereien, Skulpturen und einer großen Tür unten.

Kölner Dom plant Eintrittsgeld – und löst damit heftige Kritik aus

Ein Symbol der Offenheit soll kostenpflichtig werden. Warum der Plan für den Kölner Dom nicht nur Touristen, sondern die Seele Kölns trifft.